网络工程设计与系统集成杨威山西师范大学网络信息中心人民邮电出版社(第2版)NetworkEngineeringDesignandSystemIntegration(2ndEdition)普通高等教育“十一五”国家级规划教材©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第2页2020/1/23什么电子政务?是否有过体验?电子政务中你最关心的是什么?如何解除在这些活动中的后顾之忧?问题思考©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第3页2020/1/23学习目标:(1)了解电子政务网络总体架构,理解电子政务功能需求。基本掌握电子政务技术方案设计内容,以及电子政务信息系统设计内容。(2)了解城域网RRPP技术原理、MPLSVPN技术原理。理解基于RRPP的城域网技术路线,基于VPN与MPLSVPN的安全逻辑隔离技术路线。基本掌握屏蔽线敷设技术工艺,能够按照电子政务的需求,设计中小型电子政务网络技术解决方案。(3)了解PKI基本知识,以及物理隔离网闸技术与使用范围。理解办公专网概念、电子政务实体保密及PKI功能结构。理解网络行为监管与审计技术应用要点。理解关键业务数据集中存储备份、远程容灾与恢复技术方案。基本掌握Windows安全通信技术,以及安全可信Web网站构建的技术。第9章电子政务网络设计案例©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第4页2020/1/23重点知识:电子政务技术方案设计内容VPN与MPLS技术原理,VPN与MPLSVPN构建安全逻辑隔离系统屏蔽线敷设技术,涉密局域网布线Windows安全通信技术和可信网站设置技术难点知识:PKI功能结构MPLSVPN构建安全逻辑隔离系统第9章电子政务网络设计案例©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第5页2020/1/239.1电子政务概述9.1.1电子政务网络总体架构电子政务是指政府机构利用信息化手段,实现各类政府职能。其核心是应用信息技术,提高政府事务处理的效率,改善政府组织和公共管理。背景:信息技术的飞速发展发达国家提出“电子政务(电子政府)计划”我国的电子政务©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第6页2020/1/23电子政务网络体系架构办公服务其他服务逻辑隔离门户网站业务处理政务办公内网公众服务业务网可信SOAP办公服务其他服务逻辑隔离门户网站业务处理政务办公内网公众服务业务网可信SOAP办公服务其他服务逻辑隔离门户网站业务处理政务办公内网公众服务业务网可信SOAP电子政务内网统一数据交换平台统一Web服务平台统一Web门户网站统一接入平台PKI/PMIInternet办公服务其他服务政务办公专网办公服务其他服务政务办公专网办公服务其他服务政务办公专网电子政务专网政府系统工商系统税务系统物理隔离统一的安全电子政务平台©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第7页2020/1/239.1.2市级电子政务功能需求电子政务城域网基本功能需求支持政府部门横向信息共享和交互平台支持政府各部门上下级纵向连接支持城域内各政府部门统一接入Internet©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第8页2020/1/23电子政务城域网建设要求城域网关键性业务的可靠性保障政府部门业务系统安全隔离和受控互访特殊应用系统QoS保证降低城域网管理维护复杂度和成本数据中心安全防护©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第9页2020/1/239.2市级电子政务城域网设计电子政务城域骨干网电子政务信息系统城域网的汇聚与接入基于EPON的接入©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第10页2020/1/239.2.1电子政务城域骨干网电子政务城域网结构设计©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第11页2020/1/23城域网核心层RRPP技术RRPP技术是一种专门用于以太网环的链路层协议,它在以太网环中能够防止数据环路引起的广播风暴。当以太网环上链路或设备故障时,能保证链路倒换时间为50ms以内,业务倒换时间为50~200ms,保证业务快速恢复.RRPP与STP(生成树协议)相比,RRPP具有算法简单、拓扑收敛速度快和收敛时间与环网上结点数无关等显著优势。RRPP技术没有改变传统以太网的硬件,所有正在网络中运行的中高端交换机都可以通过软件升级支持吉比特以太网端口的RRPP特性。RRPP与RPR技术相比,RRPP是一种低成本的自愈环网技术。©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第12页2020/1/23逻辑子网VLAN划分电子政务城域网的逻辑拓扑可划分为若干VLAN(虚拟子网),VLAN不受设备物理位置的限制,灵活性较大。市政府、市委服务器群单独划分子网,将各种主要服务器(Web、Mail、FTP、OA、VOD、数据库等)放在一个子网内便于管理和维护,同时也可以尽可能减少外部入侵及破坏系统的可能性。另外,交换机(包括全网核心层、汇聚层和接入层交换机)的管理划分单独子网。其他子网可按电子政务系统的职责范围划分,采用多个VLAN管理。©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第13页2020/1/239.2.2电子政务信息系统公共服务网站整体架构©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第14页2020/1/23电子政务业务模型根据政府机构的业务形态来看,通常电子政务主要包括三个应用领域。其业务模型可以用下图表示。图电子政务业务模型面向社会公众和企业组织,为其提供政策、法规、条例和流程的查询服务。借助互联网实现政府机构的对外办公,如:申请、申报等,提高政府的运作效率,增加透明度。以信息化手段提高政府机构内部办公的效率,如:公文报送、信息通知和信息查询等。©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第15页2020/1/23电子政务信息流在电子政务系统中主要存在三种信息流,如下图所示。图电子政务信息流模型©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第16页2020/1/23电子政务体系结构构建的电子政务体系结构主要包括三个应用系统和一个网络通信平台。如图所示。政府公共信息服务Web网站信息安全交换系统政府内部办公网络信息平台政府网络通信平台、社会公众企业工作人员电子政务技术规范电子政务安全规范图电子政务平台系统结构©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第17页2020/1/23电子政务信息系统功能结构电子政务信息系统一般分为政府公共服务网站和政府内部办公网站,其功能结构如图所示。图电子政务系统功能结构图©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第18页2020/1/23政务处理逻辑结构4.政务处理逻辑组织将系统结构划分成数据层、组件层、功能层和应用层,如图所示。网上调研系统短信通知系统信息搜索系统视频直播系统网站访问行为分析网上接待咨询用户统一登记管理信息发布模板文件电子申报系统文档管理|流程管理|用户管理|邮件管理|短信管理|报表处理()身份认证CA|资源权限管理|工作流引擎|全文检索引擎|数据交换引擎()电子政务数据格式规范XML数据库文件库数据网关应用层数据层功能层组件层图电子政务处理逻辑结构©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第19页2020/1/239.2.3城域网的汇聚与接入设计思想汇聚层设备可以采用路由器(支持E1接入),也可以采用交换机(支持GE/FE接入)。汇聚层设备要求支持MPLSVPN,能够承担PE(ProviderEdge,骨干网中的边缘设备)的功能,并需要支持NAT(地址转换)功能,以支持不同接入用户在地址重叠的情况下能够通过NAT技术转换成不同的地址。考虑某市各县经济情况、县区大小,各县网络机房需要配置不同型号的路由交换机、路由器、交换机、服务器等设备。通常,市政府与所辖的区政府位于同一个城市,可采用1Gbit/s路由交换机上连市电子政务骨干网。县政府与市政府之间距离较近,可采用路由器上连电子政务骨干网。上连的设备均要支持MPLSVPN,便于纵向业务访问。©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第20页2020/1/23技术方案©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第21页2020/1/23通信安全为了保证各系统办公数据的全程安全,仅在MPLS网络上进行VPN隔离是不够的,还必须在接入端以下对不同部门的数据进行隔离。在条件允许的情况下,不同的部门局域网通过不同的边界路由器接入MPLS网络中,这些部门在接入侧隔离,如图9.7所示©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第22页2020/1/239.2.4基于EPON的接入例如,市地税局下属8个税务所,分布在城市的不同街道或路段,均在10km范围内。每个税务所约有5~20台业务终端。按照华为EPON技术方案,OLT设备选用S6503,配置SalienceIII型交换路由板,配置LS8M1PT8GA(8端口吉比特EPON业务板,与ONU之间的最大传输距离为10km)。S6503安置在市地税局大楼机房©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第23页2020/1/23网络屏蔽线安装技术电子政务办公专网拓扑结构电子政务专网的安全体系结构9.3市级电子政务专网设计©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第24页2020/1/239.3.1超五类屏蔽双绞线安装技术屏蔽布线系统必须是从终点到终点的连续的屏蔽路径。例如,AMPNETCONNECT屏蔽布线系统从工作区域的信息插座,双绞线,配线架,RJ45跳线,组成了从终点到终点的连续的屏蔽路径。屏蔽路径结构示意,如图9.3所示。屏蔽系统所有设施应选择同一品牌的产品。通常屏蔽系统设计时充分考虑了接续的连续性。在水平子系统FTP连接的两端,RJ45屏蔽接口的屏蔽金属壳与RJ45接头的金属包覆套采用紧密嵌套接合,确保跳线和接口完全充分的接触。例如,AMP4对FTP线有锡箔屏蔽包覆层,屏蔽层内有一条接地线,这条接地线对于降低接地电阻,并保持一个低的接地电阻有重要作用。©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第25页2020/1/23屏蔽布线安装工艺要求屏蔽层的续接密实、连续;一个完全紧密的接地系统会提高屏蔽系统的整体性能,降低接地电阻,并使其一直保持低于1欧姆的电阻值;每个配线架独立接地;每个配线架只有一个接地点;尽量缩短屏蔽线的开剥长度;保持双绞线转弯时有大于线径8倍的弯曲半径。©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第26页2020/1/239.3.2电子政务办公专网拓扑结构市府数据中心SiSiRG7606市政府办公楼宇RG2126G市委办公楼1Gbit/sMMF1Gbit/sMMF1Gbit/sMMFRSR-08E省电子政务专网CPOS20县市区专网……服务器DMZ区域SiSi服务器DMZ区域1Gbit/sSMFRG7606RG2126G猎豹II型猎豹II型市委数据中心©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第27页2020/1/239.3.3电子政务专网的安全体系结构市府数据中心SiSiRG76061Gbit/sMMF1Gbit/sMMF1Gbit/sMMFPOS服务器DMZ区域CPOS数据库Server工作流计划与及时沟通ServerVODServer身份认证Server病毒控制与补丁分发Server安全监控与审计Server远程容灾(市委数据中心)1Gbit/sMMF入侵检测漏洞扫描RSR-08E猎豹II型©2009.2人民邮电出版社21世纪高等院校网络工程规划教材第28页2020/1/239.4